ネットオウル Q&A掲示板

■ トップ > カテゴリ一覧 > SSLボックス > Let's Encrypt SSL証明書新規取得について

質問

Let's Encrypt SSL証明書新規取得について
本文：
「Web認証」による所有者の確認に苦戦しております。

素人のため詳しい方がいらっしゃいましたらご教授お願い致します。

ネットで調べながら
トークンファイルのダウンロード、
wordpressと同じ階層に「.well-known」フォルダの作成、
その中に「acme-challenge」フォルダの作成、
その中にトークンファイルのアップロード、
まではわかったのですが、

http://サイトアドレス/.well-known/acme-challenge/認証キー

にアクセスしても「404」のページが表示されます。
このまま「所有者確認開始」をしても当然、
【「Web認証」による所有者の確認ができませんでした。】
となるのですが、どなたか原因がわかる方いらっしゃいますでしょうか？

ちなみに「wordpress」「.well-known」と同じ階層に
「.htaccess」と「index.php」ファイルもアップロードしています。

「.htaccess」内の記述は以下の通りです。
ーーーーーーーーーー
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress
ーーーーーーーーーー

よろしくお願い致します。
緊急度：通常投稿者：luogoさん投稿時間：2019/06/12 12:28

質問に対する回答は締め切られました

回答 No.9167

本文：
http://サイトアドレス/.well-known/acme-challenge/認証キー

でなく

http://サイトアドレス/.well-known/acme-challenge/トークンファイル

では？
投稿者：ジョバンニさん 投稿時間：2019/06/12 13:20

質問者からのコメント

ジョバンニさま

お返事ありがとうございます。
正直、認証キーとトークンファイルの区別もついておらず、参照サイトをそのままコピぺしてました。

おしゃる通り、アクセスしたのは
http://サイトアドレス/.well-known/acme-challenge/トークンファイル
（Web認証の際にトークンファイルダウンロードの横に表示されるURLです）

回答 No.9168

本文：
正確なURLは？
投稿者：ジョバンニさん 投稿時間：2019/06/12 14:35

この回答に対してコメントする

回答 No.9171

本文：
そもそも、
http://example.com/.well-known/acme-challenge/ のように、ディレクトリ自体にもアクセス可能になっていますか？
.well-known はドット（ピリオド）付きのディレクトリなので、ウェブサーバ等の環境によっては追加の設定が必要かもしれません。

> ちなみに「wordpress」「.well-known」と同じ階層に
「.htaccess」と「index.php」ファイルもアップロードしています。

.well-known のほうにはいずれのファイルも不要です。
それよりも、 index.html かなにか、ダミーのファイルを置いてみてはどうでしょうか。
そうすると、 http://example.com/.well-known/acme-challenge/index.html のようなかたちでアクセスしたら、index.html が表示されるようになるはずかと思います。
それすらも表示されないのであれば、ウェブサーバ側の設定になにか不備があるはずです。
投稿者：ayaguchiさん 投稿時間：2019/06/12 17:44

この回答に対してコメントする

回答 No.9172

本文：
SSLボックスをカテゴリーに選んだということは、当然に「他社サーバーで使う」ということなんだろうけれど、

そうすると、
>「wordpress」「.well-known」と同じ階層に
の wordpress というのが、
① wordpress という名前のディレクトリなのか、
② wordpress をインストールしたディレクトリなのか
で、すでに意味に曖昧性が発生してくるんだよね...

wordpressをサブディレクトリにインストールしたというなら、①も②も同じことなんだけれど、大多数はそうはしないからね。

②だとすると、
wordpressと同じ階層に
というのは、ドキュメントルートの外側ということになるから、そこに、.htaccess や、.well-known を作っても無意味という話になるのだけれど、

認証キーとトークンファイルを取り違えるような、注意深さに欠けるような人だと、自分にしか通用しない意味で言葉を使うことが多いから、判断しようがないんだな。

そもそも、「他社サーバーで使う」ということ自体もどのくらい当たっているのか疑問だし。
投稿者：ジョバンニさん 投稿時間：2019/06/12 18:52

質問者からのコメント

ジョバンニさま

お返事ありがとうございます。
素人ですみません。。

ドメインキングを使っており、サーバー内のwordpressアプリでwordpressをインストールしています。

それからwordpress内の設定でURLの表示を
ドメイン/wordpress/から
ドメインのみにするために

ーーーーーーーーーーーー
<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/

/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wordpress/wp-blog-header.php' );
ーーーーーーーーーーーー
index.phpというファイルを作成しました。

なので現在、
ルートディレクトリ＞httpdocs＞wordpress
httpdocsを開くとwordpress、.htaccess、index.php、.well-knownがある状態です。

回答 No.9173

本文：
なるほど
そもそも、ディレクトリ構成やどういったウェブサーバで運用しているのかも書かれていませんから、

ドキュメントルートのパスと、
WordPress のインストールされたパスと、
.well-known を作成したパスとが、不明なんですよね。

例えば
ドキュメントルートが /var/www/html
WordPress が /var/lib/wordpress
とかなっていて、
.well-known を /var/lib/ に作成しても、ウェブサーバに設定されていなければ読めないので。
（上記の場合は簡単には、 /var/www/html/.well-known にする）

しかも上記の例だと、
index.php と .htaccess も /var/www/html に置かないと、
ドキュメントルートへのアクセス時に WordPress は表示されないので。

ウェブサーバどころか WordPressをインストールするにも、
wordpress.org からダウンロードして自力でやる人もいれば、
ディストリビューションのリポジトリなどからインストールする人もいるので、
ディレクトリ構成が場合によってまちまち。
投稿者：ayaguchiさん 投稿時間：2019/06/12 19:13

質問者からのコメント

ayaguchiさま

お返事ありがとうございます。

ですが、、
例えば
ドキュメントルートが /var/www/html
WordPress が /var/lib/wordpress～

この辺り、全く理解できないほどの素人です、すみません。。
色んなサイトの説明を参考にしながら必要なことをしていったはずなのですが、、

ただサイト自体はちゃんとテーマもインストールして、子テーマを作成し、ちょっとカスタムして見られるようにはなっている状態です。。
wordpressはドメインキング内のアプリでインストールしました。

回答 No.9174

本文：
> ドメインキングを使っており、

「共用SSLの利用が可能」で、
https://www.domainking.jp/support/manual/shared2/startup/hp_ssl.html
「独自SSL」は有料となっていて「他社取得の独自SSLは、弊社サーバーサービスではご利用いただけません。」というルールになっているのに、
どのような理由で「SSL ボックス」で Let's Encrypt の証明書を取得しようとしているのか、それがそもそもの問題でしょう。

そもそも「他社取得の独自SSLは、弊社サーバーサービスではご利用いただけません。」という「ドメインキング」が、
/.well-known/acme-challenge/ を読めるようにしておいているかも疑わしいですし、
証明書を取得しても使えないので意味がないはずです。
投稿者：ayaguchiさん 投稿時間：2019/06/12 20:09

質問者からのコメント

ayaguchiさま

早速、お返事ありがとうございます。
「ドメインキング」が、
/.well-known/acme-challenge/ を読めるようにしておいているかも疑わしい
そういった設定になっていることもあるんですね。

Let’s Encryptで取得した無料証明書をドメインキングで設定しているサイトがあったもので。。ただこの記事、去年の２月のものなのでドメインキング側の仕様変更があったのかもしれないですね。

ご丁寧に説明いただきありがとうございました。

回答 No.9175

本文：
「ドメインキング」のウェブサイトに、他社証明書の持込み不可の旨書いてありますので、念のため↓
https://www.domainking.jp/support/faq/index.cgi?id=faq&no=148
https://www.domainking.jp/server/ssl.html

たとい証明書をとっても、契約違反なので「ドメインキング」では使えません。

ウェブ上には、情報はあるようですが、
https://hostingstock.net/article/domainking_jp/lets-encrypt/
https://www.keypencil.com/2016/05/29/lets-encrypt-ssl-domainking/
実際に今もやっているウェブサイトはあるのでしょうか？

私は知りませんけれども、
証明書を追加する機能も、今も「コントロールパネル」にありますか？
「ドメインキング」に有料オプションで証明書を申し込むと、証明書のインストールも代行するようなので、つまり、ユーザ側には証明書のインストール機能は不要ですよね。

ともかく、ウェブ上に情報があって検索で容易に見つかるということは、
おそらく「ドメインキング」(GMO)も知っているということですよね。

単純に考えれば、対策してくると思います。
投稿者：ayaguchiさん 投稿時間：2019/06/12 20:48

質問者からのコメント

ayaguchiさま

お返事ありがとうございます。
証明書をアップロードする機能も「コントロールパネル」にありましたが、
ドメインキング側のルールを先にちゃんと読むべきでした。

ご指導ありがとうございました！

回答 No.9183

本文：
＞ウェブ上には、情報はあるようですが、
＞https://hostingst
＞https://www.keyp
＞実際に今もやっ

ちなみに、現状を調べると
１つめは、XSERVER
２つめは、ValueServer
なので、
いまも、ドメインキングで実現できるかは、不明なのでは？

今現状で、
・ドメインキング
・SSL
・Let's Encrypt
のサイトがあれば、実現できる確証があるので

そのサイトのコメントで聞いてみては？
投稿者：k-tanさん 投稿時間：2019/06/15 19:21

この回答に対してコメントする

回答 No.9197

本文：
蛇足ですが、
Domain Validation（ドメイン認証）方式で TLS 証明書を発行する場合には、
証明書発行申請者がドメインの保有者（または正当な権限者）であることを確認するための認証手段として、
・特定のメールアドレスにメールを送って確認する方法
・そのドメインのウェブサーバに指定したファイルを公開させて確認する方法
・DNS レコードで指定したデータを登録させて確認する方法
があります。

Let's Encrypt では、後の２者を用います（メール認証はやりません）。
認証を自動化するために ACME という規格を用いていて、 Let's Encrypt では従業員が数人しかおらず、サーバなどのインフラの維持費が多くかかっています。
https://ja.wikipedia.org/wiki/Automated_Certificate_Management_Environment

他方で、Comodo とか DigiCert とかセコムとかいった認証局（また、これらの認証を受けて認証局を運営している JPRS とかセキュアコアとか）は一般的に、
メール認証か、ウェブ認証を用います。
これらの業者は、組織認証（Organisation Validation; 「企業認証」ともいうことがありますが、企業でない法人も対象）や、
それをさらに拡張した拡張認証(Extended Validation)も扱っていることが多く、
これらの認証には、担当者の確認作業が発生します。
（人件費や通信費、ときには旅費がかかるので、これらの証明書は高価です。）
https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html

さて、いずれにしても、
ウェブサーバに指定したファイルを置く認証方式を用いた場合は、ファイルを置く URL には共通性があります。
Let's Encrypt では ACME なので /.well-known/acme-challenge/ のディレクトリですし、
ほかの認証局だと /.well-known/pki-validation/ だったりします。
https://knowledge.digicert.com/ja/jp/solution/SO29286.html

ってことは、
かりに自社のレンタルサーバを使って証明書発行のウェブ認証を通されたくなければ、
これらのディレクトリにユーザがファイルを置いても公開されないように、ウェブサーバを設定しておけばいいわけです。
（それでも、メール認証や DNS 認証は阻止不可能でしょうけれども。）

Let's Encrypt の証明書の発行をそれでもどうしても受けたければ、DNS 認証の方式を用いれば可能です。
ただ、「DNS に TXT レコードを登録して？」と言われてわかる程度の理解と技能は要りますが。
https://www.sslbox.jp/support/man/new_application.php

それでも、「ドメインキング」では契約違反だから、あそこで使うのはダメでしょうけどね。
（バレて、止めさせられるとか、契約解除とかになってもおかしくありませんね。）
投稿者：ayaguchiさん 投稿時間：2019/06/16 17:50

この回答に対してコメントする

回答 No.9260

本文：
平素はネットオウルをご利用いただき誠にありがとうございます。
ネットオウル運営チームです。

本ご質問は一定期間新たな回答がなかったため
運営チームで締め切らせていただきました。

■質問の締め切りについて

Q&A掲示板はユーザー様同士の交流掲示板です。
回答がもらえた場合、回答者へお礼コメントをしましょう。

問題が解決した際にはベストアンサーを選び、
質問を締め切ってください。

■再度のご質問について

ご質問が未解決の場合、「ワンポイント！」を参考に、
再度質問してみてください。

【ワンポイント！】

　メールやFTPの設定がうまくいかない場合、
　ネットオウルIDやサーバーIDなどのお客様情報を公開しない範囲で、
　現在の設定内容を出来るだけ詳しく書いてみましょう。
　設定内容のミスを指摘してもらえるかもしれません。

　エラーが出てうまくいかない場合、
　エラーメッセージの内容を書いてみましょう。
　エラーメッセージにはエラー原因が詳しく書かれていることが多く、
　問題の解決につながる回答が得られるかもしれません。

■ベストアンサーについて

ご質問の締め切りに際して、運営チームにて
ベストアンサーを選んでおります。

　※ベストアンサーの回答者様には通常と同様のポイントが
　　付与されています。

--ネットオウル運営チーム--
投稿者：ネットオウル運営 投稿時間：2019/06/26 14:24

この回答に対してコメントする

netowl

Q&A掲示板

キーワード検索 - まずは似たような質問が無いかチェック！

メンバーメニュー

質問

回答 No.9167

質問者からのコメント

回答 No.9168

回答 No.9171

回答 No.9172

質問者からのコメント

回答 No.9173

質問者からのコメント

回答 No.9174

質問者からのコメント

回答 No.9175

質問者からのコメント

回答 No.9183

回答 No.9197

回答 No.9260

netowl

Q&A掲示板

キーワード検索 - まずは似たような質問が無いかチェック！

メンバーメニュー

主要カテゴリ

質問

回答 No.9167

質問者からのコメント

回答 No.9168

回答 No.9171

回答 No.9172

質問者からのコメント

回答 No.9173

質問者からのコメント

回答 No.9174

質問者からのコメント

回答 No.9175

質問者からのコメント

回答 No.9183

回答 No.9197

回答 No.9260